npm 安装hardhat工具箱时出现“无可用修复”错误

zhte4eai  于 2023-02-19  发布在  其他
关注(0)|答案(2)|浏览(326)

运行npm install --save-dev @nomicfoundation/hardhat-toolbox后,将显示以下报告:

# npm audit report

flat  <5.0.1
Severity: critical
flat vulnerable to Prototype Pollution - https://github.com/advisories/GHSA-2j2x-2gpw-g8fm
No fix available
node_modules/eth-gas-reporter/node_modules/flat
  yargs-unparser  <=1.6.3
  Depends on vulnerable versions of flat
  node_modules/eth-gas-reporter/node_modules/yargs-unparser
    mocha  5.1.0 - 9.2.1
    Depends on vulnerable versions of minimatch
    Depends on vulnerable versions of yargs-unparser
    node_modules/eth-gas-reporter/node_modules/mocha
      eth-gas-reporter  >=0.2.1
      Depends on vulnerable versions of mocha
      node_modules/eth-gas-reporter
        hardhat-gas-reporter  *
        Depends on vulnerable versions of eth-gas-reporter
        node_modules/hardhat-gas-reporter
          @nomicfoundation/hardhat-toolbox  *
          Depends on vulnerable versions of hardhat-gas-reporter
          Depends on vulnerable versions of solidity-coverage
          node_modules/@nomicfoundation/hardhat-toolbox

got  <11.8.5
Severity: moderate
Got allows a redirect to a UNIX socket - https://github.com/advisories/GHSA-pfrx-2q88-qq97
No fix available
node_modules/got
  web3-bzz  <=1.7.4
  Depends on vulnerable versions of got
  node_modules/web3-bzz
    web3  1.0.0-beta.1 - 1.7.4 || 2.0.0-alpha - 3.0.0-rc.0
    Depends on vulnerable versions of web3-bzz
    node_modules/web3
      @truffle/provider  <=0.3.0
      Depends on vulnerable versions of web3
      node_modules/@truffle/provider
        solidity-coverage  0.7.0-beta.0 - 0.8.0-rc.test.0
        Depends on vulnerable versions of @truffle/provider
        node_modules/solidity-coverage

minimatch  <3.0.5
Severity: high
minimatch ReDoS vulnerability - https://github.com/advisories/GHSA-f8q6-p94x-37v3
No fix available
node_modules/eth-gas-reporter/node_modules/minimatch

12 vulnerabilities (5 moderate, 4 high, 3 critical)

Some issues need review, and may require choosing
a different dependency.

我的节点版本是节点-v18.14.1-x64
我正尝试按照他们网站上的教程设置安全帽开发环境:https://hardhat.org/tutorial
我尝试运行npm audit fix --force,但不起作用

npm

2条答案

按热度按时间
k5ifujac

k5ifujac1#

结果发现审计只是被破坏了,从所有实际目的来看,它都是一个非错误。https://overreacted.io/npm-audit-broken-by-design/

赞(0)分享  回复(0)举报  2023-02-19
pzfprimi

pzfprimi2#

npm audit报告的漏洞是由@nomicfoundation/hardhat-toolbox包及其依赖项使用的某些依赖项的过时版本造成的。
虽然运行npm audit fix --force可能会修复一些问题,但由于缺少可用的修复程序,它可能无法修复所有问题。
要解决这些问题,您可以尝试将受影响的依赖项升级到不易受攻击的最新版本。您可以先查看每个软件包的发行说明,然后在package.json文件中相应地更新它们。
例如,您可以尝试将yargs-unparser更新到版本1.7.0,该版本不易受到平面依赖关系问题的攻击。同样,您可以尝试将minimatch更新到版本3.0.6,该版本修复了Redos漏洞。
如果无法升级依赖项或导致其他问题,您可能需要考虑查找没有这些漏洞的替代程序包。
另外值得注意的是,一些漏洞被公告标记为“无可用修复程序”。在这些情况下,您应该采取额外的预防措施,并考虑替代解决方案,以最大限度地降低潜在攻击的风险。
更新或替换易受攻击的依赖项后,可以再次运行npm审核以验证漏洞是否已解决。

赞(0)分享  回复(0)举报  2023-02-19
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com